1权限管理培训.docx
《1权限管理培训.docx》由会员分享,可在线阅读,更多相关《1权限管理培训.docx(15页珍藏版)》请在冰豆网上搜索。
1权限管理培训
目录
1、权限管理的意义2
2、权限的分类2
(1)功能权限2
(2)数据权限2
(3)组织权限2
3、基于RBAC的资源(权限模型)3
4、功能权限模型3
(1)功能权限的授权步骤3
(2)用户权限分配类别3
(3)功能节点4
(4)业务活动4
(5)业务活动权限启用5
(6)分配业务活动权限6
(7)角色6
5、数据权限8
(1)数据权限的授权规则8
(2)如何使用数据权限:
8
6、特殊数据权限9
7、用户管理10
(1)用户的身份类型10
(2)用户集团内共享11
(3)用户集团间共享11
(4)用户调动11
(5)授权11
8、权限审批13
1、权限管理的意义
a)通过设置用户所能操作的功能和数据的范围,从而达到对企业中各职位相关人员所使用ERP权限的有效管控,使其各司其职,权责分明。
b)权限管理是应用的基础,领域的应用需要架构于权限平台之上。
2、权限的分类
(1)功能权限
通过功能权限授权控制用户登录NC系统可以使用的UI元素,UI元素具体来说是指:
可以见到并打开的节点、节点中的页签、节点中的按钮
(2)数据权限
是对用户数据的访问权限控制,被控制的对象是业务对象,如供应商、客户、销售单、付款单。
有行权限(记录权限)和列权限(字段权限)之分。
目前nc里的数据权限是指行权限,列权限的控制是通过模板解决的。
(3)组织权限
用户所有的操作和业务动作都必须在有权限主组织范围内,用于定义用户使用这些UI元素时可以在哪些组织范围内做业务。
对于组织级的功能节点,功能授权时如果没有指定组织权限,则只能看见功能节点,不能做业务。
3、基于RBAC的资源(权限模型)
4、功能权限模型
(1)功能权限的授权步骤
a)第一步建立职责、启用业务活动权限、分配权限(功能节点、页签、业务活动)。
b)第二步创建角色、创建用户、给角色分配职责、给角色分配组织、角色关联用户
c)第三步用户使用权限
(2)用户权限分配类别
目前用户权限分配可以通过两种方式来进行:
按角色授权和直接授权。
a)按角色授权,是指用户需要关联角色才能拥有相应的权限,权限的授予主体是角色。
b)直接授权是指直接为用户分配职责和组织权限,是一种快速为用户分配权限的方式。
c)集团级参数:
是否允许用户直接授权用来控制系统是否其启用直接授权这种模式。
(3)功能节点
a)业务类
b)管理类
c)业务+管理类
d)系统类
(4)业务活动
a)是具有业务含义的一组按钮被打包成为业务活动,不再支持单个按钮的授权,而改为对业务活动授权。
b)功能节点和页签上都可以挂业务活动。
(5)业务活动权限启用
a)不启用业务活动权限,则所有按钮都可以使用;启用了业务活动后,要再进行分配才能操作按钮,不分配则无权限。
b)考虑到企业中通常只针对一些核心功能会控制到按钮一级,而其他非核心功能的所有按钮都可以使用,不严格控制,所以默认为不启用。
(6)分配业务活动权限
(7)角色
i.角色类型
角色的管理从职能上进行分离,业务类角色和管理类角色分开进行管理。
a)业务类角色:
只能关联业务类职责,所能操作的节点都是业务类节点,例如,客户、供应商信息,物料档案维护、销售订单、出货单等。
b)管理类角色:
只能关联管理类职责,所能操作的节点是管理类节点,例如用户管理,角色管理,授权管理等。
c)“是否启用管理权限与业务权限互斥控制”的参数:
ii.角色关联用户、分配职责、分配组织
iii.按角色授权
即通过角色授权。
系统支持一个用户关联多个角色,即支持多角色的复合授权,其拥有的权限是多个角色权限的并集。
iv.直接授权
5、数据权限
(1)数据权限的授权规则
a)全部无权:
即禁止权,有些关键业务数据,任何情况下不允许用户查看,可以通过设置禁止权实现。
b)按规则授权:
比如只能维护制单人为本人的单据,或只能维护某种客户分类的单据。
c)全部有权
(2)如何使用数据权限:
分为数据维护权限和数据使用权限
i.数据维护权限:
对具体业务对象的具体操作定义权限规则。
例如只能维护制单人为本人的XX单据。
a)是对各类业务对象的数据设置维护权限,主要是各种业务对象,包括基础档案,各类单据,如:
销售单、付款单,凭证、采购合同等。
b)同一业务对象可以按操作(如维护、审核、签字)授予不同的权限。
ii.数据使用权限
对具体业务对象的具体场景定义权限规则,其带来的好处是不用为每个业务单据分别设置数据权限。
例如XX销售员只能查看华北区客户的销售订单、出货单、应收单。
a)授权资源为基本档案。
b)可以按使用场景设置使用权限。
不同的部门对同一单据或者档案所关心的数据可能是不相同的,可以定义供应链使用场景的数据权限,也可以定义财务使用场景的数据权限。
6、特殊数据权限
特殊数据权限是简化授权的一种方案,定义了特殊权限就等于定义了一套数据权限规则。
包括创建者权限、主管权限和审核者权限三类:
a)创建者权限应用场景:
在进行销售订单的创建、修改、删除、查询等操作中。
企业希望能够达到这样的控制效果:
一个用户只能够修改、删除和查询自己创建的销售订单。
b)主管权限应用场景:
在销售订单进行审核的时候,希望有这样的控制:
如果登录用户为相应的主管,则其能够查询、审批的单据范围为其管辖范围内人员创建的单据。
c) 审核者权限应用场景:
在对销售订单进行反审核的时候,希望有这样的控制:
只有对其审核的人能够对其进行反审核。
7、用户管理
(1)用户的身份类型
NC产品中人员档案和用户是两个档案,当用户为企业内员工的时候,需要设置用户对应的员工;
a)当用户为企业的客户或者供应商的时候,需要设置用户对应的客户或者供应商。
b)身份是否必输,受全局参数[用户为企业员工、客户或者供应商的时候必须有明确身份]控制。
(2)用户集团内共享
例如:
集团内有两家分公司:
分公司一和分公司二,分别有自己的权限管理员Admin1和Admin2对各自公司用户的权限进行管理。
一个员工在两家公司兼职,其在分公司一的权限由Admin1负责管理,在分公司二的权限由Admin2负责管理。
这种情况下,该员工对应的用户在分公司一创建后,还需要共享给同集团内的分公司二。
。
(3)用户集团间共享
新世纪纸业集团和新世纪钢铁集团,分别有自己的集团管理员nc1和nc2对各自集团进行管理。
一个员工在两个集团兼职,其在新世纪纸业集团的权限由nc1负责管理,在新世纪钢铁集团的权限由nc2负责管理。
这种情况下,该员工对应的用户在一个集团创建后,还需要共享给另外一个集团。
(4)用户调动
a)用户调动支持2种:
集团内调动和集团间调动。
集团内调动即用户在本集团内部多个业务单元之间进行调动;集团间调动即用户在多个集团之间进行调动。
b)用户跨业务单元/集团调动后,原业务单元/集团的管理员对其不再有权限管理的权限,需要调入业务单元/集团的管理员将其分配给本业务单元/集团内的管理员进行管理。
(5)授权
分层次的授权管理
a)如同企业的工作职能分配,授权过程是自上而下的
b)下级管理员的授权权不能超越其上级管理员的授权权
管理员的授权权
c)授权范围:
可管理的用户组,可管理的角色组、可分配的功能,可转授组织,可分配的资源实体
注意:
1、『用户』节点『分配权限』关联到『用户权限分配』
2、集团共享三个地方功能相同
3、集团调动两个地方功能相同
8、权限审批
a)参数控制是否启用权限审批,进入审批模式之后,用户的权限的获取只能通过填写权限申请单来获取。
b)权限审批包括:
用户权限申请单和角色权限申请单。
升级会员 